基于Honeyd的蜜罐系統(tǒng)的設計與實現(xiàn).pdf

1、由于主流的網(wǎng)絡威脅逐漸從大范圍無差別的蠕蟲和電子郵件病毒攻擊轉向針對個體的以謀取利益為目的的入侵型黑客攻擊。傳統(tǒng)的數(shù)據(jù)鑒別、防火墻、數(shù)據(jù)加密和認證等安全防護技術在手段上較為被動。蜜罐系統(tǒng)一種能夠主動防御網(wǎng)絡攻擊的技術,它是一種通過偽造攻擊目標,誘騙攻擊者攻擊,從而實現(xiàn)保護實際目標的技術。本文將通過設計和實現(xiàn)蜜罐系統(tǒng)來對該系統(tǒng)進行研究。為了滿足實用性的要求,本文采用產品型蜜罐Honeyd作為設計和實現(xiàn)的蜜罐系統(tǒng)的核心。Honeyd蜜罐具有

2、精致小巧,安裝便捷,功能強大,實用性強等特點,非常適合作為一個產品化的蜜罐工具。然而,隨著技術的發(fā)展,Honeyd蜜罐不可避免的會存在一些問題。本文在研究Honeyd蜜罐和蜜罐系統(tǒng)的實際開發(fā)過程時,發(fā)現(xiàn)其存在如下問題：1. Honeyd所使用操作系統(tǒng)指紋庫過時。確定目標主機的操作系統(tǒng)是攻擊者進行攻擊活動的前奏,基本上是攻擊過程的必備步驟,對攻擊者的后續(xù)攻擊活動有著決定性意義。通常,攻擊者是通過操作系統(tǒng)的指紋技術來確定目標主機的操作系統(tǒng)的

3、。因此,對于蜜罐系統(tǒng)來說,偽造虛擬主機指紋是一個非常重要的功能。Honeyd使用的是Nmap的指紋庫,Nmap是目前最為權威的掃描器之一,其強大的操作系統(tǒng)指紋庫使得它對操作系統(tǒng)的指紋掃描精度極高,許多黑客都使用Nmap來確定目標主機操作系統(tǒng)。然而,由于掃描器技術的快速發(fā)展,而目前的Honeyd仍然使用上一代Nmap的指紋庫,從而新版本的Nmap無法檢測出Honeyd虛擬主機的操作系統(tǒng),使得Honeyd的功能失效。因此,本文在現(xiàn)有Hone

4、yd蜜罐的基礎上,進行指紋庫的升級,使之可以適應新版本的Nmap。2. Honeyd蜜罐的識別技術使得蜜罐系統(tǒng)失效。蜜罐系統(tǒng)是一種基于虛擬系統(tǒng)和協(xié)議的技術,它和真實系統(tǒng)總存在著無法避免的區(qū)別。因此,妄圖攻擊的黑客們利用這種區(qū)別來識別出蜜罐系統(tǒng),使得蜜罐系統(tǒng)失去功效。目前,已經(jīng)有許多針對蜜罐的識別技術出現(xiàn)。本文選擇其中針對Honeyd的識別技術做簡要介紹,并給出相應的反識別的方案。本文介紹了蜜罐系統(tǒng)的基本原理,著重介紹了Honeyd蜜罐,